Transfer หรือ seize FSMO roles ด้วย PowerShell

โดยทั่วไป Active Directory สามารถให้บริการได้ตามปกติ แม้ DC ที่ถือ FSMO roles จะ offline ไป แต่การ offline จะส่งผลกระทบต่องานที่รับผิดชอบ

FSMO มี 5 roles เราจะ extend AD Schema ไม่ได้ถ้า Schema Master offline อยู่

เราอาจสร้างหรือลบ directory partition เช่น child domain, tree, application partition ไม่ได้ถ้า Domain Naming Master offline อยู่

หาก RID Master offline อยู่ เราอาจสร้าง object ใหม่ๆ บน DC บางเครื่องไม่ได้เมื่อ RID number บน DC เครื่องนั้นหมดไป

Infrastructure Master ไม่มีงานให้ทำใน single domain forest และ multi domain forest ที่ DC ทุกเครื่องเป็น Global Catalog (GC)

จากที่กล่าวมาไม่มีปัญหาไหนที่จะหยุดการให้บริการของ Active Directory ได้ครับ

น่ากังวลอยู่เพียง role เดียว คือ PDC Emulator การ offline ของเขาอาจส่งผลต่อการให้บริการทางอ้อม (หน้าที่เขาเยอะ) เช่น app เก่าๆ (มาก) ไม่มี PDC ให้คุย, Windows รุ่นเก่าหาเพื่อนไม่เจอจาก Network Neighborhood, ไม่มีตัวควบคุมเวลาในระดับ forest, password ที่พึ่งเปลี่ยนไม่มี PDCE ให้ push ไปเก็บ จึงเกิด password change replication delay เป็นต้น

หาก DC ที่ถือ FSMO roles อยู่ offline สั้นๆ คงไม่เป็นไรครับ แต่ถ้านาน ควรย้าย roles ไปยัง DC เครื่องอื่น

วันนี้มาลองย้ายด้วย PowerShell กันนะครับ

Zeen Social Icons